3. Определения

В настоящем стандарте применяют следующие термины: 3.1. Система стандартов по защите информации: совокупность взаимосвязанных НД по стандартизации, устанавливающих нормы, правила и требования по защите информации. 3.2. Комплекс стандартов: по ГОСТ Р 1.12. 3.3. Защита информации: по ГОСТ Р 50922. 3.4. Защищаемая информация: по ГОСТ Р 50922. 3.5. Объект стандартизации: по ГОСТ Р 1.12. 3.6. Требование: по ГОСТ Р 1.12. 3.7. Объект защиты информации: по ГОСТ Р 50922. 3.8. Фактор, воздействующий на защищаемую информацию: по ГОСТ Р 51275. 3.9. Продукция: по ГОСТ Р ИСО 9000. 3.10. Технология: система взаимосвязанных методов, способов, приемов предметной деятельности. 3.11. Стандарт отрасли: по ГОСТ Р 1.12. 3.12. Нормативный документ: по ГОСТ Р 1.12. 3.13. Стандарт предприятия: по ГОСТ Р 1.12. 3.14. Информационная технология: по ГОСТ 34.003. 3.15. Услуга: по ГОСТ 30335. 3.16. Процесс: совокупность последовательных действий для достижения какого-либо результата. 3.17. Жизненный цикл продукции: по Р 50.605-80 [1]. 3.18. Документ: зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. 3.19. Электронный документ: документ, информация в котором представлена в электронно-цифровой форме. 3.20. Техника защиты информации: по ГОСТ Р 50922. 3.21. Средство защиты информации: по ГОСТ Р 50922. 3.22. Средство контроля эффективности защиты информации: по ГОСТ Р 50922. 3.23. Способ защиты информации: по ГОСТ Р 50922. 3.24. Способ контроля эффективности защиты информации: по ГОСТ Р 50922. 3.25. Качество: по ГОСТ Р ИСО 9000.

4. Сокращения

В настоящем стандарте применяют следующие сокращения: ССЗИ - система стандартов по защите информации; ЗИ - защита информации; ОЗ - объект защиты информации; СЗИ - средство защиты информации; СКЭЗИ - средство контроля эффективности защиты информации; ПЭМИ - побочные электромагнитные излучения; НД - нормативный документ; НТД системы ОТТ - нормативно-технический документ системы общих технических требований к вооружению и военной технике; ВВТ - вооружение и военная техника; СРПП - система разработки и постановки на производство; ЕСПД - единая система программной документации; ЕСТД - единая система технологической документации; СНиП - строительные нормы и правила; НСД - несанкционированный доступ; НСВ - несанкционированное воздействие; НПВ - непреднамеренное воздействие; ЕКПС МО РФ - единый классификатор предметов снабжения Министерства обороны Российской Федерации; НИР - научно-исследовательская работа; ОКР - опытно-конструкторская работа.

5. Общие положения

5.1. ССЗИ является межотраслевой, общетехнической системой стандартов и разрабатывается в соответствии с программами и планами работ по стандартизации в области защиты информации. Целью ССЗИ является упорядочение процесса создания взаимоувязанной совокупности НД по защите информации. 5.2. Основными задачами и направлениями работ по формированию и развитию ССЗИ являются: - установление основополагающих принципов построения системы; - обеспечение единства организационных и методических подходов к организации и обеспечению работ в области защиты информации; - обеспечение терминологического взаимопонимания в области защиты информации; - упорядочение системы требований по защите информации, предъявляемых к различным видам ОЗ, и методов контроля выполнения этих требований; - установление рациональных требований к технике ЗИ; - оптимизация номенклатуры СЗИ и СКЭЗИ; - установление рациональных требований к услугам по защите информации; - нормативное и техническое обеспечение испытаний, контроля, сертификации и оценки качества ОЗ, СЗИ и СКЭЗИ на соответствие требованиям по безопасности информации; - сокращение затрат на проведение работ в области ЗИ; - создание и ведение классификаторов в области защиты информации; - установление требований к метрологическому, информационному и другим видам обеспечения ЗИ. 5.3. Формирование ССЗИ осуществляют с учетом основных принципов стандартизации, регламентируемых ГОСТ Р 1.0, а также дополнительных: - согласованность работ по стандартизации в области защиты информации на основе распределения и закрепления ответственности в данной области между ответственными федеральными органами исполнительной власти и организациями - участниками работ; - системность в работах по стандартизации в области защиты информации, в том числе согласованность и непротиворечивость требований по защите информации, взаимоувязанность НД по стандартизации в области защиты информации, исключение дублирования требований различных документов, обеспечение унификации требований по стандартизации; - комплексность охвата взаимосвязанных объектов стандартизации в области защиты информации; - использование единых систем классификации, идентификации, кодирования информации в области защиты информации. 5.4. Основными объектами стандартизации ССЗИ являются следующие группы: - объекты защиты информации, включающие в себя подгруппы: а) продукцию; б) технологии; в) процессы (работы); г) объекты капитального строительства; д) услуги; е) документы; - факторы, воздействующие на защищаемую информацию (носитель информации); - техника ЗИ; - процессы по защите информации; - услуги по защите информации; - технологии ЗИ; - документы по защите информации. Указанные группы объектов стандартизации по защите информации могут быть подразделены на классы и виды в соответствии с требованиями Единой системы классификации и кодирования технико-экономической и социальной информации Российской Федерации: ОК 002, ОК 003, ОК 004, ОК 005 и ОК 011. При этом используют иерархическую систему классификации. На каждой ступени классификации объекта деление осуществляют по классификационным признакам: назначение, область применения, вид носителя, а также с учетом отношений вида "часть - целое", "причина - следствие". Классификация объекта может быть завершена на различных ступенях классификационного деления, в зависимости от решаемых задач по стандартизации в области защиты информации и категории стандарта. Фрагмент классификации объектов стандартизации по защите информации представлен в Приложении А. Взаимосвязь объектов стандартизации ССЗИ с требованиями, которые предъявляются к ним, представлена в Приложении Б. 5.5. ССЗИ может включать в себя следующие НД по стандартизации: - регламенты; - стандарты; - правила, нормы и рекомендации по стандартизации; - общероссийские классификаторы технико-экономической информации. Кроме перечисленных выше документов в систему могут входить НТД системы ОТТ. 5.6. В зависимости от объекта стандартизации в области защиты информации и требований, предъявляемых к нему, устанавливают стандарты следующих видов: - основополагающие; - на продукцию; - на процессы; - на технологию, включая в том числе информационные технологии; - на услуги; - на методы контроля; - на документацию; - на термины и определения. 5.7. Стандарты по защите информации подразделяют на следующие категории: - международные; - межгосударственные; - государственные стандарты Российской Федерации, оформленные на основе аутентичного текста международного стандарта; - государственные стандарты Российской Федерации; - государственные военные стандарты Российской Федерации; - стандарты отраслей, в том числе и на оборонную продукцию; - стандарты предприятий. 5.8. Международные и межгосударственные стандарты по защите информации применяют в установленном нормативными актами порядке. 5.9. Государственные стандарты по защите информации разрабатываются на объекты стандартизации межотраслевого значения, в том числе и на оборонную продукцию, в целях систематизации и упорядочения требований, предъявляемых к объектам, и не должны противоречить законодательству Российской Федерации. 5.10. Стандарты отраслей и предприятий по защите информации разрабатываются и принимаются федеральными органами исполнительной власти в пределах их компетенции применительно к объектам стандартизации отраслевого значения, в том числе и к оборонной продукции. 5.11. Общероссийские классификаторы устанавливают классификацию информации о технике защиты информации, услугах, технологиях, процессах и документах по защите информации с присвоением ей единых кодовых обозначений, которая используется в процессе функционирования Государственной системы защиты информации. 5.12. НТД системы ОТТ устанавливают состав и показатели общих тактико-технических требований по защите информации к видам систем и комплексов (образцов) ВВТ, общих требований к методам контроля выполнения этих требований, а также общие тактико-технические требования к средствам ЗИ (СКЭЗИ) и общие требования к методам их государственных испытаний. 5.13. НД по защите информации разрабатывают, принимают, пересматривают, вносят изменения или отменяют по ГОСТ Р 1.2, а стандарты отраслей и предприятий - по ГОСТ Р 1.4. 5.14. Оформление и содержание НД по защите информации должны соответствовать требованиям ГОСТ 1.5, ГОСТ Р 1.2, ГОСТ Р 1.5 и Р 50.1.039 [2]. 5.15. ССЗИ должна быть взаимоувязана со стандартами других систем и комплексов стандартов, например СРПП, ЕСПД, информационных технологий и др.